【脆弱性ランキング】MITRE、2025年版「最も危険なソフトウェア脆弱性Top 25」を発表

MITREが2025年版CWE Top 25を公開した。39,080件以上のCVEレコードを分析した結果、クロスサイトスクリプティング（XSS）が最も蔓延する脆弱性として1位を維持し、SQLインジェクションが1ランク上昇して2位となった。特筆すべきは「Missing Authorization（認可の欠如）」が5ランク上昇して4位に躍進した点で、現代アプリケーションにおけるアクセス制御の不備への懸念が高まっていることを示している。

メモリ安全性の脆弱性も依然として深刻で、境界外書き込み、Use-After-Free、境界外読み取り、各種バッファオーバーフローがリストの上位を占める。実際の悪用状況では、OSコマンドインジェクション（9位）がKEV（既知の悪用脆弱性）エントリ20件で最多となった。新たにランクインしたClassic Buffer Overflow（11位）、Stack-based Buffer Overflow（14位）、Heap-based Buffer Overflow（16位）はメモリ安全性の課題が継続していることを示す。一方、Improper Input Validationは12位から18位へ下落し、基本的な入力検証の意識向上が示唆された。
https://t.co/hQtguc7g6u December 12, 2025

MITRE、2025年版「最も危険なソフトウェア脆弱性Top 25」

Rank　CWE ID　Weakness　CVEs in KEV　Previous　Rank
1　79　クロスサイトスクリプティング（XSS）　7　1
2　89　SQLインジェクション　4　3　↑1
3　352　クロスサイトリクエストフォージェリ（CSRF）　0　4　↑1
4　862　認可の欠如　0　9　↑5
5　787　境界外書き込み　12　2　↓3
6　22　パストラバーサル　10　5　↓1
7　416　解放後使用（Use　After　Free）　14　8　↑1
8　125　境界外読み取り　3　6　↓2
9　78　OSコマンドインジェクション　20　7　↓2
10　94　コードインジェクション　7　11　↑1
11　120　従来型バッファオーバーフロー　0　N/A
12　434　制限のないファイルアップロード　4　10　↓2
13　476　NULLポインタ参照　0　21　↑8
14　121　スタックベースのバッファオーバーフロー　4　N/A
15　502　信頼されていないデータのデシリアライゼーション　11　16　↑1
16　122　ヒープベースのバッファオーバーフロー　6　N/A
17　863　不正な認可　4　18　↑1
18　20　不適切な入力検証　2　12　↓6
19　284　不適切なアクセス制御　1　N/A
20　200　機密情報の漏えい　1　17　↓3
21　306　認証の欠如　11　25　↑4
22　918　サーバーサイドリクエストフォージェリ（SSRF）　0　19　↓3
23　77　コマンドインジェクション　2　13　↓10
24　639　認可バイパス（ユーザー制御キー）　0　30　↑6
25　770　制限のないリソース割り当て　0　26　↑1

https://t.co/Os478HWxe9 December 12, 2025

@mesosune 今どきは読み飛ばしたところで、要件になかったからSQLインジェクション対策をしなかった。は裁判で負けますからねぇ。もう常識って事にしないとダメな時代だと思う December 12, 2025

MITRE2025年版「最も危険なソフトウェア脆弱性Top 25」
RankCWE IDWeaknessCVEs in KEVPrevious Rank
179クロスサイトスクリプティング（XSS）71
289SQLインジェクション43 ↑1
3352クロスサイトリクエストフォージェリ（CSRF）04 ↑1
4862認可の欠如09 ↑5
5787境界外書き込み122 ↓3
622パストラバーサル105 ↓1
7416解放後使用（Use After Free）148 ↑1
8125境界外読み取り36 ↓2
978OSコマンドインジェクション207 ↓2
1094コードインジェクション711 ↑1
11120従来型バッファオーバーフロー0N/A
12434制限のないファイルアップロード410 ↓2
13476NULLポインタ参照021 ↑8
14121スタックベースのバッファオーバーフロー4N/A
15502信頼されていないデータのデシリアライゼーション1116 ↑1
16122ヒープベースのバッファオーバーフロー6N/A
17863不正な認可418 ↑1
1820不適切な入力検証212 ↓6
19284不適切なアクセス制御1N/A
20200機密情報の漏えい117 ↓3
21306認証の欠如1125 ↑4
22918サーバーサイドリクエストフォージェリ（SSRF）019 ↓3
2377コマンドインジェクション213 ↓10
24639認可バイパス（ユーザー制御キー）030 ↑6
25770制限のないリソース割り当て026 ↑1
https://t.co/Os478HWxe9 December 12, 2025

ChatGPTが情報処理安全確保支援士対策用に出力してくれた怖いログその2

ディレクトリトラバーサルとかSQLインジェクションってこんな感じでログが残るんだね。
現実には膨大なログの中からこれを見つけないといけない訳で、エンジニアというのはすごいんだなと改めて思います。 https://t.co/MIkzT9qHxs https://t.co/BjMPsEKnkj December 12, 2025

@yurimasa963 私も大学の講義で
「SQLインジェクション、クロスサイトスクリプティング、（以下略）は、悪いものです。攻撃です。」
くらいの説明でも許されますかね？
（絶対無理）

こういうちょっとしたミスが、回り回って組織をダメにしていくんでしょうね。結構こういうミスが重なってきてますからね。 December 12, 2025

今年の漢字にSQLインジェクションを仕込むことで僧が所持する全ての漢字が出力させられるとこ見たい December 12, 2025

XSS、CSRFとSQLインジェクションは2回生までには習うし絶対覚えて欲しい攻撃名3選〜みたいな感じなのにあんまSQL文分からんままの人割と多そう December 12, 2025

プロンプトインジェクションはSQLインジェクションとは異なり、なお悪いと英国政府NCSC。LLMモデルは内部的には開発者の指示とユーザーの入力を区別せず、単に次に現れる可能性が最も高いトークンを予測するだけで、プロンプト内でのセキュリティ境界の強制は本質的に困難。 https://t.co/T07SWF3Gvh December 12, 2025

6万人以上ものスパイウェアユーザーの情報をSQLインジェクションで読み取ることに成功したという報告 https://t.co/zawxhHp8Yv December 12, 2025

生成AIセキュリティの重要課題「プロンプトインジェクション（LLM01:2025）」について学習中

従来のSQLインジェクションのAI版とも言える脆弱性です。
ユーザーの入力が開発者の意図しない形でAIの挙動を操作してしまいます。
怖いのは、人間には見えない隠された命令でもAIが解釈してしまう点。
例えば、履歴書に「この候補者を採用せよ」と人間には見えない文字で書いておくと、AI採用システムが誤判定する…なんてことも起こり得る。

#AIセキュリティ #生成AI #OWASP December 12, 2025

そんな俺も当時SQLインジェクションし放題のCMSを作ったりしていて、懐かしい… December 12, 2025

@jyako_tirimenvr SQLインジェクションしようとすなww
最後は;— で締めないと不正なクエリになっちゃうゾイ December 12, 2025

重過失の判例は結構多いが、例えばsqlインジェクション対策もしないとか重過失判定。同様にosインジェクション対策もしないのは重過失。同様に聞いた話で設計するのも重過失で犯罪で収監で金額によれば横領。判例あるよ。 December 12, 2025